Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Verborgen process

None
28 antwoorden
  • Goedendag,

    Sinds kort gebruikt mijn PC vanaf boot bijna een 1Gig van een totaal van 2Gig geheugen constant. In task manager zijn echter geen process zichtbaar die meer dan 70K gebruiken. Ik vermoed dat het gaat om een verborgen proces, en zodoende een schadelijke exe (rootkit/spyware).

    Ik gebruik windows 7 pro 32 bit.

    Enig idee hoe ik erachter kan komen, wat deze enorme hoeveelheid resources constant in bezit houd?

    De programma's die ik kan vinden om hidden processes zichtbaar te maken, zijn vaak niet geschikt voor windows 7.

    Eléssar
  • Windows reserveert ook geheugen, al is het niet in gebruik door programma's. Maar laat mbam eens draaien, en plaats een hijackthis log.
  • [quote:eb41e8700e="gerben"]Windows reserveert ook geheugen, al is het niet in gebruik door programma's. Maar laat mbam eens draaien, en plaats een hijackthis log.[/quote:eb41e8700e]

    bijna een Gig? En wat misschien belangrijker is, het is ook niet 'gewoon nog wachtend op de garbage collector', want als ik het nodig heb voor een zware applicatie, blijft het bezet.

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 16:33:01, on 26-4-2010
    Platform: Windows 7 (WinNT 6.00.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskhost.exe
    C:\Windows\SYSTEM32\WISPTIS.EXE
    C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
    C:\Program Files\WTouch\WTouchUser.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\WTablet\Pen_TabletUser.exe
    C:\Program Files\Google\Gmail Notifier\gnotify.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Program Files\AVG\AVG9\avgtray.exe
    C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
    C:\Program Files\DAEMON Tools\DTLite.exe
    C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
    C:\Xilinx\11.1\ISE\bin
    t\ise.exe
    C:\Xilinx\11.1\ISE\bin
    t\_pn.exe
    C:\Program Files\VideoLAN\VLC\vlc.exe
    C:\Users\Eléssar\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\Eléssar\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\Eléssar\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\Eléssar\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Windows\system32\taskeng.exe
    C:\Users\Eléssar\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Program Files\Hijackthis\Trend Micro\HiJackThis\HiJackThis.exe
    C:\Windows\system32\SearchFilterHost.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
    O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O2 - BHO: Microsoft Web Test Recorder 10.0 Helper - {DDA57003-0068-4ed2-9D32-4D1EC707D94D} - C:\Program Files\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll
    O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
    O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
    O4 - HKLM\..\Run: [Adobe_ID0ENQBO] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
    O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
    O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKCU\..\Run: [Google Update] "C:\Users\Eléssar\AppData\Local\Google\Update\GoogleUpdate.exe" /c
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools\DTLite.exe" -autorun
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
    O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
    O20 - AppInit_DLLs: avgrsstx.dll
    O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
    O23 - Service: ANTS Memory Profiler 5 Service - Red Gate Software Ltd. - C:\Program Files\Red Gate\ANTS Memory Profiler 5\RedGate.Memory.IISService.exe
    O23 - Service: ANTS Performance Profiler 5 Service - Red Gate Software Ltd. - C:\Program Files\Red Gate\ANTS Performance Profiler 5\RedGate.Profiler.IISService.exe
    O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
    O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
    vvsvc.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
    O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
    O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe
    O23 - Service: WTouch Service (WTouchService) - Wacom Technology, Corp. - C:\Program Files\WTouch\WTouchService.exe


    End of file - 9572 bytes


  • Hallo ElessarWebb, wil je eerst onderstaande scan doen:


    [b:38943f3507]Download CKScanner by askey 127 en sla het op je bueaublad op[/b:38943f3507].
    Vista en Win 7 gebruikers gebruiken dit tool via rechtsklik en kiezen voor Als Administrator uitvoeren.
    • Klik/dubbelklik op [b:38943f3507]CKScanner by askey 127[/b:38943f3507] om het tool te starten en klik op Search for Files.
    • Na een korte tijd, wanneer de zandloper verdwijnt, klik dan op Save List To File
    • Een berichtvenster zal bevestigen dat het dokument is opgelagen.
    • Klik/dubbelklik op de CKFiles.txt snelkoppeling op je bureaublad en kopiëer en plak de inhoud in je volgende post.
  • [quote:7d13a5e35b="Abraham54"]Hallo ElessarWebb, wil je eerst onderstaande scan doen:


    [b:7d13a5e35b]Download CKScanner by askey 127 en sla het op je bueaublad op[/b:7d13a5e35b].
    Vista en Win 7 gebruikers gebruiken dit tool via rechtsklik en kiezen voor Als Administrator uitvoeren.
    • Klik/dubbelklik op [b:7d13a5e35b]CKScanner by askey 127[/b:7d13a5e35b] om het tool te starten en klik op Search for Files.
    • Na een korte tijd, wanneer de zandloper verdwijnt, klik dan op Save List To File
    • Een berichtvenster zal bevestigen dat het dokument is opgelagen.
    • Klik/dubbelklik op de CKFiles.txt snelkoppeling op je bureaublad en kopiëer en plak de inhoud in je volgende post.[/quote:7d13a5e35b]

    De scan levert een aantal bestanden op waarin 'crack' of 'keygen' in te vinden is. Ik geloof echter niet dat deze bestanden de oorzaak van het probleem zijn. Mede doordat deze files al maanden op mijn pc aanwezig zijn, en dit probleem zich nog maar enkele dagen voordoet. Ook zijn deze bestanden niet aangewezen door AVG, windows Defender en security basics, hijackthis, mamb en nog wat van dergelijke tools.
  • [quote:71c8d398c3="ElessarWebb"][quote:71c8d398c3="Abraham54"]Hallo ElessarWebb, wil je eerst onderstaande scan doen:


    [b:71c8d398c3]Download CKScanner by askey 127 en sla het op je bueaublad op[/b:71c8d398c3].
    Vista en Win 7 gebruikers gebruiken dit tool via rechtsklik en kiezen voor Als Administrator uitvoeren.
    • Klik/dubbelklik op [b:71c8d398c3]CKScanner by askey 127[/b:71c8d398c3] om het tool te starten en klik op Search for Files.
    • Na een korte tijd, wanneer de zandloper verdwijnt, klik dan op Save List To File
    • Een berichtvenster zal bevestigen dat het dokument is opgelagen.
    • Klik/dubbelklik op de CKFiles.txt snelkoppeling op je bureaublad en kopiëer en plak de inhoud in je volgende post.[/quote:71c8d398c3]

    De scan levert een aantal bestanden op waarin 'crack' of 'keygen' in te vinden is. Ik geloof echter niet dat deze bestanden de oorzaak van het probleem zijn. Mede doordat deze files al maanden op mijn pc aanwezig zijn, en dit probleem zich nog maar enkele dagen voordoet. Ook zijn deze bestanden niet aangewezen door AVG, windows Defender en security basics, hijackthis, mamb en nog wat van dergelijke tools.[/quote:71c8d398c3]


    Je vergist je!
    Cracks en ekygens zijn een van de grootste bronnen van besmettingen - tot en met Virut toe.
    Of zonder dat je het weet, dat je een Zombie-PC hebt.
    Want: de makers van die cracks en keygens willen wat van jouw terug hebben! En dat kan je meer kosten dan waanneer je de nu illegale software zou hebben gekocht!

    http://marcvn.blogspot.com/2008/07/niets-voor-niets.html

    http://www.youtube.com/watch?gl=NL&feature=player_embedded&v=O6U8cYBeA9A
  • Dat begrijp ik, maar dan hadden ze toch nog aangewezen moeten worden door verschillende spyware scans e.d.?

    Is er een manier om te bevestigen dat het inderdaad om spyware gaat en om het te verwijderen?
  • Is jouw Windows legitiem?
  • [quote:f18958c05c="Abraham54"]Is jouw Windows legitiem?[/quote:f18958c05c]

    Jazeker.
  • Doe dan maar deze test ook:

    [b:a61ee83ce6]Download MGADiag.exe en sla het op je bueaublad op.[/b:a61ee83ce6]
    • Klik/dubbelklik op MGADiag.exe om het tool te starten.
    • Het programma start - de analyze kan even duren, wees geduldig.
    • Indien klaar klik dan op Copy.
    • Open dan een nieuw kladblok document en kopieer de gegevens erin.
    • Sla het kladblokdocument dan op je bureaublad op onder de naam MGADiag.txt en post de inhoud ervan in je volgende bericht.
  • [quote:d37718841c="Abraham54"]Doe dan maar deze test ook:

    [b:d37718841c]Download MGADiag.exe en sla het op je bueaublad op.[/b:d37718841c]
    • Klik/dubbelklik op MGADiag.exe om het tool te starten.
    • Het programma start - de analyze kan even duren, wees geduldig.
    • Indien klaar klik dan op Copy.
    • Open dan een nieuw kladblok document en kopieer de gegevens erin.
    • Sla het kladblokdocument dan op je bureaublad op onder de naam MGADiag.txt en post de inhoud ervan in je volgende bericht.[/quote:d37718841c]

    Ik waardeer dat jullie allemaal zo snel reageren!
    Ik heb wel de product key en product key hash verwijdert ;)

    Diagnostic Report (1.9.0027.0):
    —————————————–
    Windows Validation Data–>

    Validation Code: 0
    Cached Online Validation Code: N/A, hr = 0xc004f012
    Windows Product ID: 00371-840-7495296-85195
    Windows Product ID Type: 5
    Windows License Type: Retail
    Windows OS version: 6.1.7600.2.00010100.0.0.048
    ID: {C8C91197-66E5-4C69-A11D-D323E10E1598}(1)
    Is Admin: Yes
    TestCab: 0x0
    LegitcheckControl ActiveX: N/A, hr = 0x80070002
    Signed By: N/A, hr = 0x80070002
    Product Name: Windows 7 Professional
    Architecture: 0x00000000
    Build lab: 7600.win7_gdr.100226-1909
    TTS Error:
    Validation Diagnostic:
    Resolution Status: N/A

    Vista WgaER Data–>
    ThreatID(s): N/A, hr = 0x80070002
    Version: N/A, hr = 0x80070002

    Windows XP Notifications Data–>
    Cached Result: N/A, hr = 0x80070002
    File Exists: No
    Version: N/A, hr = 0x80070002
    WgaTray.exe Signed By: N/A, hr = 0x80070002
    WgaLogon.dll Signed By: N/A, hr = 0x80070002

    OGA Notifications Data–>
    Cached Result: N/A, hr = 0x80070002
    Version: 2.0.48.0
    OGAExec.exe Signed By: Microsoft
    OGAAddin.dll Signed By: Microsoft

    OGA Data–>
    Office Status: 100 Genuine
    Microsoft Office Enterprise 2007 - 100 Genuine
    OGA Version: Registered, 2.0.48.0
    Signed By: Microsoft
    Office Diagnostics: 025D1FF3-364-80041010_025D1FF3-229-80041010_025D1FF3-230-1_025D1FF3-517-80040154_025D1FF3-237-80040154_025D1FF3-238-2_025D1FF3-244-80070002_025D1FF3-258-3_E2AD56EA-765-d003_E2AD56EA-766-0_E2AD56EA-134-80004005

    Browser Data–>
    Proxy settings: N/A
    User Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32)
    Default Browser: C:\Users\Eléssar\AppData\Local\Google\Chrome\Application\chrome.exe
    Download signed ActiveX controls: Prompt
    Download unsigned ActiveX controls: Disabled
    Run ActiveX controls and plug-ins: Allowed
    Initialize and script ActiveX controls not marked as safe: Disabled
    Allow scripting of Internet Explorer Webbrowser control: Disabled
    Active scripting: Allowed
    Script ActiveX controls marked as safe for scripting: Allowed

    File Scan Data–>
    File Mismatch: C:\Windows\system32\wat\watadminsvc.exe

    File Mismatch: C:\Windows\system32\wat
    pwatweb.dll

    File Mismatch: C:\Windows\system32\wat\watux.exe

    File Mismatch: C:\Windows\system32\wat\watweb.dll


    Other data–>
    Office Details: <GenuineResults><MachineData><UGUID>{C8C91197-66E5-4C69-A11D-D323E10E1598}</UGUID><Version>1.9.0027.0</Version><OS>6.1.7600.2.00010100.0.0.048</OS><Architecture>x32</Architecture><PKey>*****-*****-*****-*****-PTQHC</PKey><PID>00371-840-7495296-85195</PID><PIDType>5</PIDType><SID>S-1-5-21-3421977989-3582955890-1734013734</SID><SYSTEM><Manufacturer>System manufacturer</Manufacturer><Model>System Product Name</Model></SYSTEM><BIOS><Manufacturer>Phoenix Technologies, LTD</Manufacturer><Version>ASUS M2N-E SLI ACPI BIOS Revision 0801</Version><SMBIOSVersion major="2" minor="4"/><Date>20070425000000.000000+000</Date></BIOS><HWID>EDB93607018400F6</HWID><UserLCID>0413</UserLCID><SystemLCID>0409</SystemLCID><TimeZone>W. Europe Standard Time(GMT+01:00)</TimeZone><iJoin>0</iJoin><SBID><stat>3</stat><msppid></msppid><name></name><model></model></SBID><OEM/><GANotification><File Name="OGAAddin.dll" Version="2.0.48.0"/></GANotification></MachineData><Software><Office><Result>100</Result><Products><Product GUID="{91120000-0030-0000-0000-0000000FF1CE}"><LegitResult>100</LegitResult><Name>Microsoft Office Enterprise 2007</Name><Ver>12</Ver><Val>C1097ABD8622F73</Val><Hash>gA7u8Rhk4RSqgmP6nObw0HfvTi8=</Hash><Pid>81599-953-0181396-65047</Pid><PidType>1</PidType></Product></Products><Applications><App Id="15" Version="12" Result="100"/><App Id="16" Version="12" Result="100"/><App Id="18" Version="12" Result="100"/><App Id="19" Version="12" Result="100"/><App Id="1A" Version="12" Result="100"/><App Id="1B" Version="12" Result="100"/><App Id="44" Version="12" Result="100"/><App Id="A1" Version="12" Result="100"/><App Id="BA" Version="12" Result="100"/></Applications></Office></Software></GenuineResults>

    Spsys.log Content: 0x80070002

    Licensing Data–>
    Software licensing service version: 6.1.7600.16385

    Name: Windows(R) 7, Professional edition
    Description: Windows Operating System - Windows(R) 7, RETAIL channel
    Activation ID: e838d943-63ed-4a0b-9fb1-47152908acc9
    Application ID: 55c92734-d682-4d71-983e-d6ec3f16059f
    Extended PID: 00371-00170-840-749529-00-1043-7600.0000-0532010
    Installation ID: 019730404392629133950716603906129620137690872970787980
    Processor Certificate URL: http://go.microsoft.com/fwlink/?LinkID=88338
    Machine Certificate URL: http://go.microsoft.com/fwlink/?LinkID=88339
    Use License URL: http://go.microsoft.com/fwlink/?LinkID=88341
    Product Key Certificate URL: http://go.microsoft.com/fwlink/?LinkID=88340
    Partial Product Key: PTQHC
    License Status: Licensed
    Remaining Windows rearm count: 3
    Trusted time: 26-4-2010 20:48:20

    Windows Activation Technologies–>
    HrOffline: 0x00000000
    HrOnline: N/A
    HealthStatus: 0x0000000000000000
    Event Time Stamp: N/A
    ActiveX: Not Registered - 0x80040154
    Admin Service: Not Registered - 0x80040154
    HealthStatus Bitmask Output:


    HWID Data–>
    HWID Hash Current: OAAAAAIABgABAAEAAQABAAAAAQABAAEAJJQaRsf7rCoAh96TPo5+COrUdOpiCE40je9Jqxj3Juk=

    OEM Activation 1.0 Data–>
    N/A

    OEM Activation 2.0 Data–>
    BIOS valid for OA 2.0: yes, but no SLIC table
    Windows marker version: N/A
    OEMID and OEMTableID Consistent: N/A
    BIOS Information:
    ACPI Table Name OEMID Value OEMTableID Value
    APIC Nvidia ASUSACPI
    FACP Nvidia ASUSACPI
    HPET Nvidia ASUSACPI
    MCFG Nvidia ASUSACPI
  • Controleer eens via Taakbeheer - tab Netwerk, wat de aktiviteit daar over langere tijd is, zonder dat de computer ver iets hoeft te doen.
    Dus zelf heb je dan niks opgestart behalve Taakbeheer.

    Laat weten hoeveel aktiviteit te bespeuren is.
  • [quote:2815fca717="Abraham54"]Controleer eens via Taakbeheer - tab Netwerk, wat de aktiviteit daar over langere tijd is, zonder dat de computer ver iets hoeft te doen.
    Dus zelf heb je dan niks opgestart behalve Taakbeheer.

    Laat weten hoeveel aktiviteit te bespeuren is.[/quote:2815fca717]

    Hier zijn 3 screens van mijn actieve processen, mijn proc en memory gebruik en mijn netwerk activiteit gedurende een aantal minuten niets doen. Ik heb alles gesloten.

    Bij het openen van een webpagina loopt het netwerk gebruik tot zo'n 12.5% op.

    [img:2815fca717]http://img148.imageshack.us/img148/5869/activitys.png[/img:2815fca717]
    [img:2815fca717]http://img231.imageshack.us/img231/4693/networkk.png[/img:2815fca717]

    processen:
    [link]http://img297.imageshack.us/img297/1553/proc.png[/link]
    [img:2815fca717]http://img297.imageshack.us/img297/1553/proc.png[/img:2815fca717]
  • Ik vind dat er veel processen zijn.
    Is het een merkcomputer met een voorgeïnstalleerde Windows?


    [b:3858cde43b]Download, installeer en blijf MBAM gebruiken (KLIK)[/b:3858cde43b]
    • Al meteen na de installatie wil [b:3858cde43b]MBAM[/b:3858cde43b] zijn database opwaarderen – toestaan dus.
    • Ook bij herhaald gebruik: eerst MBAM updaten via de tab [b:3858cde43b]Update[/b:3858cde43b]!

    • Start [b:3858cde43b]MBAM[/b:3858cde43b] en kies voor [b:3858cde43b]Snelle Scan[/b:3858cde43b]

    • [b:3858cde43b]N.B.: Vistagebruik(st)ers starten MBAM middels rechtsklikken en dan kiezen voor Als Administrator uitvoeren.[/b:3858cde43b]

    • Het scannen kan een tijdje duren, dus wees geduldig.
    • Indien de scan voltooid is, klik dan op de knop [b:3858cde43b]OK[/b:3858cde43b]
    • Klik daarna op de knop [b:3858cde43b]Bekijk Resultaten[/b:3858cde43b] om de resultaten te zien.
    • Zorg ervoor, dat alles aangevinkt is.
    • Vervolgens klik je op: [b:3858cde43b]Verwijder geselecteerde[/b:3858cde43b] .
    • Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.

    • Het log wordt automatisch bewaard door [b:3858cde43b]MBAM[/b:3858cde43b] en dat kan je terugvinden door op de tab [b:3858cde43b]Logs[/b:3858cde43b] te klikken in [b:3858cde43b]MBAM[/b:3858cde43b] .

    • Indien [b:3858cde43b]MBAM[/b:3858cde43b] moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven –
    dan telkens op [b:3858cde43b]OK[/b:3858cde43b] klikken!
    • Daarna zal [b:3858cde43b]MBAM[/b:3858cde43b] vragen om de Computer opnieuw op te starten - dus sta toe dat de computer opnieuw opgestart wordt.

    Indien er de rootkit (TDSS) aanwezig is, zal MBAM ook vragen te herstarten. Doe dit dan ook.
    MBAM zal dan na de herstart opnieuw scannen en de rootkit verwijderen.


    [b:3858cde43b]Hierna post je de inhoud van de volgende logs:[/b:3858cde43b]
    • MBAM scanlog

    [b:3858cde43b]Hierna post je de inhoud van de volgende logs:[/b:3858cde43b]
    • een nieuw Hijackthis-log
    • MBAM scanlog
    [b:3858cde43b]Tevens een Uninstall-lijst posten:[/b:3858cde43b]
    • start HijackThis,
    • klik op de knop [b:3858cde43b]Open the Misc Tools section[/b:3858cde43b],
    • klik op de knop [b:3858cde43b]Open Uninstall Manager[/b:3858cde43b]
    • Klik op de knop [b:3858cde43b]Save[/b:3858cde43b].
  • Ik vind dat er veel processen zijn.
    Is het een merkcomputer met een voorgeïnstalleerde Windows?


    [b:000c59d552]Download, installeer en blijf MBAM gebruiken (KLIK)[/b:000c59d552]
    • Al meteen na de installatie wil [b:000c59d552]MBAM[/b:000c59d552] zijn database opwaarderen – toestaan dus.
    • Ook bij herhaald gebruik: eerst MBAM updaten via de tab [b:000c59d552]Update[/b:000c59d552]!

    • Start [b:000c59d552]MBAM[/b:000c59d552] en kies voor [b:000c59d552]Snelle Scan[/b:000c59d552]

    • [b:000c59d552]N.B.: Vistagebruik(st)ers starten MBAM middels rechtsklikken en dan kiezen voor Als Administrator uitvoeren.[/b:000c59d552]

    • Het scannen kan een tijdje duren, dus wees geduldig.
    • Indien de scan voltooid is, klik dan op de knop [b:000c59d552]OK[/b:000c59d552]
    • Klik daarna op de knop [b:000c59d552]Bekijk Resultaten[/b:000c59d552] om de resultaten te zien.
    • Zorg ervoor, dat alles aangevinkt is.
    • Vervolgens klik je op: [b:000c59d552]Verwijder geselecteerde[/b:000c59d552] .
    • Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.

    • Het log wordt automatisch bewaard door [b:000c59d552]MBAM[/b:000c59d552] en dat kan je terugvinden door op de tab [b:000c59d552]Logs[/b:000c59d552] te klikken in [b:000c59d552]MBAM[/b:000c59d552] .

    • Indien [b:000c59d552]MBAM[/b:000c59d552] moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven –
    dan telkens op [b:000c59d552]OK[/b:000c59d552] klikken!
    • Daarna zal [b:000c59d552]MBAM[/b:000c59d552] vragen om de Computer opnieuw op te starten - dus sta toe dat de computer opnieuw opgestart wordt.

    Indien er de rootkit (TDSS) aanwezig is, zal MBAM ook vragen te herstarten. Doe dit dan ook.
    MBAM zal dan na de herstart opnieuw scannen en de rootkit verwijderen.


    [b:000c59d552]Hierna post je de inhoud van de volgende logs:[/b:000c59d552]
    • MBAM scanlog

    [b:000c59d552]Hierna post je de inhoud van de volgende logs:[/b:000c59d552]
    • een nieuw Hijackthis-log
    • MBAM scanlog
    [b:000c59d552]Tevens een Uninstall-lijst posten:[/b:000c59d552]
    • start HijackThis,
    • klik op de knop [b:000c59d552]Open the Misc Tools section[/b:000c59d552],
    • klik op de knop [b:000c59d552]Open Uninstall Manager[/b:000c59d552]
    • Klik op de knop [b:000c59d552]Save[/b:000c59d552].
  • Ik heb al een quick scan met mbam gedaan, maar de full scan draait nu.
    Tot nu heeft dat 1 infected bestand opgeleverd.

    Als deze zo klaar is zal ik volledige logs posten.

    Mooi programma dat MBAM. Hoewel ik niet snap dat noch windows security als avg dit oppikt.
  • Dat is het verschil tussen een specialistische scanner en gratis antivirus.
    Het is daarom ook belangrijk een scanner als MBAM ter ondersteuning van de antivirus in Windows te hebben!

    Overigens dat mijn vorige bericht nu 3 maal is gepost, komt door een of andere forumbug, die liet blijken dat het bericht niet gepost kon worden!
  • [quote:55abe4a44a="Abraham54"]Dat is het verschil tussen een specialistische scanner en gratis antivirus.
    Het is daarom ook belangrijk een scanner als MBAM ter ondersteuning van de antivirus in Windows te hebben!

    Overigens dat mijn vorige bericht nu 3 maal is gepost, komt door een of andere forumbug, die liet blijken dat het bericht niet gepost kon worden![/quote:55abe4a44a]

    AVG antivirus is niet gratis :) valt me wel wat tegen.
  • [quote:de862bf03c="ElessarWebb"][quote:de862bf03c="Abraham54"]Dat is het verschil tussen een specialistische scanner en gratis antivirus.
    Het is daarom ook belangrijk een scanner als MBAM ter ondersteuning van de antivirus in Windows te hebben!

    Overigens dat mijn vorige bericht nu 3 maal is gepost, komt door een of andere forumbug, die liet blijken dat het bericht niet gepost kon worden![/quote:de862bf03c]

    AVG antivirus is niet gratis :) valt me wel wat tegen.[/quote:de862bf03c]

    Tsja - de beste koopantivirus is nog steeds Norton Internetsecurity 2010!
  • [quote:f9a446926d="Abraham54"][quote:f9a446926d="ElessarWebb"][quote:f9a446926d="Abraham54"]Dat is het verschil tussen een specialistische scanner en gratis antivirus.
    Het is daarom ook belangrijk een scanner als MBAM ter ondersteuning van de antivirus in Windows te hebben!

    Overigens dat mijn vorige bericht nu 3 maal is gepost, komt door een of andere forumbug, die liet blijken dat het bericht niet gepost kon worden![/quote:f9a446926d]

    AVG antivirus is niet gratis :) valt me wel wat tegen.[/quote:f9a446926d]

    Tsja - de beste koopantivirus is nog steeds Norton Internetsecurity 2010![/quote:f9a446926d]

    Ja, maar dat is ook nog steeds de zwaarste :)

    Hier komt vast mijn startuplist. Ik heb BTW met hijack this een no name no file verwijdert en bovendien met mbam 2 infected files verwijdert/gerepaired. Deze lijken echter niet de oorzaak van het probleem te zijn geweest, want de hogere memory usage blijft bestaan.

    Ik heb in taskmanager wel show processes from all users aangevinkt, waarschijnlijk is dat de reden dat er zoveel processen te zien zijn :)

    ———————— STARTUP LIST HIJACKTHIS

    StartupList report, 26-4-2010, 23:56:42
    StartupList version: 1.52.2
    Started from : C:\Program Files\Hijackthis\Trend Micro\HiJackThis\HiJackThis.EXE
    Detected: Windows 7 (WinNT 6.00.3504)
    Detected: Internet Explorer v8.00 (8.00.7600.16385)
    * Using default options
    ==================================================

    Running processes:

    C:\Windows\SYSTEM32\WISPTIS.EXE
    C:\Program Files\WTouch\WTouchUser.exe
    C:\Windows\system32\taskhost.exe
    C:\Windows\system32\Dwm.exe
    C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Google\Gmail Notifier\gnotify.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Program Files\AVG\AVG9\avgtray.exe
    C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
    C:\Program Files\DAEMON Tools\DTLite.exe
    C:\Program Files\Steam\Steam.exe
    C:\Program Files\Hijackthis\Trend Micro\HiJackThis\HiJackThis.exe
    C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe

    ————————————————–

    Checking Windows NT UserInit:

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    UserInit = C:\Windows\system32\userinit.exe,

    ————————————————–

    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    {0228e555-4f9c-4e35-a3ec-b109a192b4c2} = C:\Program Files\Google\Gmail Notifier\gnotify.exe
    QuickTime Task = "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    iTunesHelper = "C:\Program Files\iTunes\iTunesHelper.exe"
    GrooveMonitor = "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    AVG9_TRAY = C:\PROGRA~1\AVG\AVG9\avgtray.exe
    AdobeCS4ServiceManager = "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
    Adobe_ID0ENQBO = C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
    Acrobat Assistant 8.0 = "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
    (Default) =
    Adobe Acrobat Speed Launcher = "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"

    ————————————————–

    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    Google Update = "C:\Users\Eléssar\AppData\Local\Google\Update\GoogleUpdate.exe" /c
    DAEMON Tools Lite = "C:\Program Files\DAEMON Tools\DTLite.exe" -autorun
    Steam = "C:\Program Files\Steam\Steam.exe" -silent

    ————————————————–

    Autorun entries in Registry subkeys of:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    [OptionalComponents]
    =

    ————————————————–

    Autorun entries in Registry subkeys of:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    [AdobeUpdater]
    =

    ————————————————–

    Load/Run keys from C:\Windows\WIN.INI:

    load=*INI section not found*
    run=*INI section not found*

    Load/Run keys from Registry:

    HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
    HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
    HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
    HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
    HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
    HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
    HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
    HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
    HKCU\..\Windows NT\CurrentVersion\Windows: load=
    HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
    HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
    HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
    HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=avgrsstx.dll

    ————————————————–

    Shell & screensaver key from C:\Windows\SYSTEM.INI:

    Shell=*INI section not found*
    SCRNSAVE.EXE=*INI section not found*
    drivers=*INI section not found*

    Shell & screensaver key from Registry:

    Shell=explorer.exe
    SCRNSAVE.EXE=*Registry value not found*
    drivers=*Registry value not found*

    Policies Shell key:

    HKCU\..\Policies: Shell=*Registry key not found*
    HKLM\..\Policies: Shell=*Registry value not found*

    ————————————————–


    Enumerating Browser Helper Objects:

    (no name) - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll - {074C1DC5-9320-4A9A-947D-C042949C6216}
    AcroIEHelperStub - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll - {18DF081C-E8AD-4283-A596-FA578C2EBDC3}
    WormRadar.com IESiteBlocker.NavFilter - C:\Program Files\AVG\AVG9\avgssie.dll - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
    (no name) - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll - {72853161-30C5-4D22-B7F9-0BBC1D38A37E}
    (no name) - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll - {9030D464-4C02-4ABF-8ECC-5164760863C6}
    (no name) - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}
    (no name) - C:\Program Files\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll - {DDA57003-0068-4ed2-9D32-4D1EC707D94D}
    SmartSelect - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll - {F4971EE7-DAA0-4053-9964-665D8EE6A077}

    ————————————————–

    Enumerating Task Scheduler jobs:

    GoogleUpdateTaskUserS-1-5-21-3421977989-3582955890-1734013734-1001Core.job
    GoogleUpdateTaskUserS-1-5-21-3421977989-3582955890-1734013734-1001UA.job

    ————————————————–

    Enumerating Download Program Files:

    [Checkers Class]
    InProcServer32 = C:\Windows\Downloaded Program Files\msgrchkr.dll
    CODEBASE = http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

    [DLC Class]
    InProcServer32 = C:\Windows\Downloaded Program Files\grTransferCtrl.dll
    CODEBASE = https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab

    [MessengerStatsClient Class]
    InProcServer32 = C:\Windows\Downloaded Program Files\MessengerStatsPAClient.dll
    CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

    ————————————————–

    Enumerating Winsock LSP files:

    NameSpace #1: C:\Windows\system32\NLAapi.dll
    NameSpace #4: C:\Windows\system32
    apinsp.dll
    NameSpace #5: C:\Windows\system32\pnrpnsp.dll
    NameSpace #6: C:\Windows\system32\pnrpnsp.dll
    NameSpace #7: C:\Program Files\Bonjour\mdnsNSP.dll
    NameSpace #8: C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL
    NameSpace #9: C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL

    ————————————————–

    Enumerating ShellServiceObjectDelayLoad items:

    WebCheck: *Registry key not found*

    ————————————————–
    End of report, 7.888 bytes
    Report generated in 0,015 seconds

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.